Hyper-VバックアップとセキュアなDMZサーバ。ハウツーガイド

セキュリティの観点から、例えば私たちが協力しているVPSホスティングプロバイダが使用している安全なオプションは、ハイパーvホストではなくVMをDMZ化することです。

ホストの代わりにVMをDMZ化することで、通常通りにホストにアクセスしてバックアップを取ることができ、VMだけを外部に露出させることができます。攻撃者はVMからホストに簡単にアクセスできません。Hyper-Vの統合サービスだけが、おそらく悪意のあるソフトウェアがホストと通信することを許してしまう可能性があります。

上記を含むすべての戦略には、それぞれ長所と短所があります。

    内部LANに新しいバックアップNASを追加し、バックアップ用のDMZ Hyper-V Server間のポートを開く

その場合、攻撃者はホストを乗っ取り、バックアップデバイスの破損を含め、何でもできるようになります。ところで、ランサムウェアもこのようなことをします。ネットワークアクセスの共有を見つけ、そこにあるすべてのファイルにもダメージを与えることができます。

    DMZに新しいNASを追加する。プロ：ファイアウォールで何も変更する必要がない

この場合の欠点は、攻撃者がホスト、その上のすべての VM、およびその上のすべてのバックアップへのフルアクセスを得ることができ、攻撃された場合には何も復元できなくなる可能性があるということです。

静的 IP アドレスを使用してすべての VM を DMZ した場合、リスクは各 VM の内部に限定されます。欠点は、すべての VM を個別に DMZ する必要があることですが、ホストは内部ネットワーク上に残り、バックアップなどを含めてそのまま保護されます。

もう一つのセキュリティの「トリック」は、隔離された仮想スイッチをセットアップして、DMZしたVM用に別のNICをアタッチして、VMがホストを含む内部ネットワークと通信できないようにすることです。これにより、誰かがVMをハッキングした場合に備えて、セキュリティのもう一つの層を確保することができます。

低価格でHyper-VサーバとVMを保護するために、このバックアップソリューションをお試しください。